交换机网络安全探针

㈠ 交换机端口安全主要有那两种方式端口地址绑定可以预防哪些内网的网络攻击

防止局域网ARP攻击。

限制交换机端口的最大连接数 ,控制网络的恶意扩展和接入，端口的安全地址绑定, 解决局域网中IP地址冲突、ARP欺骗等问题。

VLAN具备一个物理网段所具备的特性。相同的VLAN内的主机可以相互直接访问，不同的VLAN间的主机之间互相访问必须经由路由设备进行转发，广播包只可以在本VLAN内进行传播，不能传输到其他VLAN中。

(1)交换机网络安全探针扩展阅读：

注意事项：

应该做好外部电源的供应工作，一般通过引入独立的电力线来提供独立的电源，并添加稳压器来避免瞬间高压或低压现象。

如果条件允许，可以添加UPS(不间断电源)来保证交换机的正常供电，有的UPS提供稳压功能，而有的没有，选择时要注意。

在机房内设置专业的避雷措施，来避免雷电对交换机的伤害。现在有很多做避雷工程的专业公司，实施网络布线时可以考虑。

㈡ 网管软件，哪个比较好用

不同的侧重点，可以选择不同的软件。
如果侧重监视网络活动，NetFlow Analyzer是专门用于帮助用户了解流量构成、协议分布和用户活动的软件。与传统基于SNMP、网络探针、实时抓包分析方法不同，它利用Flow技术来收集网络中有关流量的重要信息。集流量收集、分析、报告于一体，回答谁(Who)在什么时间(When)、什么地方(Where)、执行什么行为(What)等最关心的问题。为全面了解企业的网络活动，合理有效分配和规划网络带宽提供科学的依据，从而保证企业的关键业务应用畅通运行。
如果侧重网络设备配置，Network Configuration Manager是一个全面的网络设备配置变更与合规性管理解决方案，可对交换机、路由器、防火墙等网络设备的配置进行统一集中的管理。支持批量配置海量设备，自动备份配置文件，实时跟踪配置变更，快速恢复正确配置。避免由错误配置引起的网络故障，防止未授权的配置变更，自动化执行配置管理任务，从而提高网络管理的效率，有效降低人力成本。
如果侧重安全监控，Firewall Analyzer是一个安全日志监控与审计平台，能够实时将企业网络安全设施(如防火墙、代理服务器、入侵检测/防御系统和VPN等)在运行过程中产生的安全日志和事件以及配置日志汇集到审计中心，进行全网综合安全分析。帮助安全管理人员快速识别病毒攻击、异常流量以及用户非法行为等重要的安全信息，从而运用合理的安全策略，保证网络的安全。
如果以上需求都有，OpManager是在以上网管产品的基础上，整合而成的一体化网络管理软件，提供网络性能监控、物理和虚拟服务器监控、网络流量分析、设备配置管理、IP地址与交换机端口管理、防火墙日志分析等功能，满足企业IT基础架构的智能统一管理。

㈢ 关于思科交换机路由器的网络安全报告

我可以提示您从三个方面写
1：从硬件放置位置是否安全。
2：查看内存，CPU资源使情况，如过高可以能受到干扰要去检查是否受到功击
3：制定一个安全管理方案

㈣ 路由器 交换机上怎样实施安全策略

路由器安全策略示例：

1. 路由器上不得配置用户账户。

2. 路由器上的enable password命令必须以一种安全的加密形式保存。

3. 禁止IP的直接广播。

4. 路由器应当阻止源地址为非法地址的数据包。

5. 在本单位的业务需要增长时，添加相应的访问规则。

6. 路由器应当放置在安全的位置，对其物理访问仅限于所授权的个人。

7. 每一台路由器都必须清楚地标识下面的声明：

“注意：禁止对该网络设备的非授权访问。您必须在获得明确许可的情况下才能访问或配置该设备。在此设备上执行的所有活动必须加以记录，对该策略的违反将受到纪律处分，并有可能被诉诸于法律。”

每一台网络交换机必须满足以下的配置标准：

1. 交换机上不得配置用户账户。

2. 交换机上的enable password命令必须以一种安全的加密形式保存。

3. 如果交换机的MAC水平的地址能够锁定，就应当启用此功能。

4. 如果在一个端口上出现新的或未注册的MAC地址，就应当禁用此端口。

5. 如果断开链接后又重新建立链接，就应当生成一个SNMP trap.

6. 交换机应当放置在安全的位置，对其物理访问仅限于所授权的个人。

7. 交换机应当禁用任何Web 服务器软件，如果需要这种软件来维护交换机的话，应当启动服务器来配置交换机，然后再禁用它。对管理员功能的所有访问控制都应当启用。

8. 每一台交换机都必须清楚地标识下面的声明：

“注意：禁止对该网络设备的非授权访问。您必须在获得明确许可的情况下才能访问或配置该设备。在此设备上执行的所有活动必须加以记录，对该策略的违反将受到纪律处分，并有可能被诉诸于法律。”这些安全要求未必适合你单位的情况，仅供参考。

㈤ 交换机端口安全的作用

交换机端口有在交换机上做mac地址绑定、端口+mac+ip绑定，是为了防止arp攻击、dhcp攻击。。acl有基于ip的基于mac的访问限制。基于MAC地址限制、允许客户端流量;避免MAC地址扩散攻击;避免MAC地址欺骗攻击（主机使用虚假MAC地址发送非法数据）。

端口安全功能适用于用户希望控制端口下接入用户的IP和MAC必须是管理员指定的合法用户才能使用网络，或者希望使用者能够在固定端口下上网而不能随意移动，变换IP/MAC或者端口号，或控制端口下的用户MAC数。

防止MAC地址耗尽攻击（病毒发送持续变化的构造出来的MAC地址，导致交换机短时间内学习了大量无用的MAC地址，8K/16K地址表满掉后无法学习合法用户的MAC，导致通信异常）的场景。

(5)交换机网络安全探针扩展阅读：

当使用1X认证配合我司SU/SA客户端的场景中，可以使用授权绑定或DHCP Snooping+IP Source Guard组合更智能的方式实现安全控制。端口安全可以配合ARP-Check可以实现静态IP环境下的防范ARP欺骗，可以参考静态IP环境防ARP欺骗

端口安全：端口安全功能通过定义报文的源MAC地址来限定报文是否可以进入交换机的端口，你可以静态设置特定的MAC地址或者限定动态学习的MAC地址的个数来控制报文是否可以进入端口，使能端口安全功能的端口称为安全端口。

只有源MAC地址为端口安全地址表中配置或者学习到的MAC地址的报文才可以进入交换机通信，其他报文将被丢弃。

㈥ 网线怎么做交换机连HUB，HUB连PC

双绞线的种类与选择：

双绞线（Twisted-Pair Cable；TP）

局域网中的双绞线可分为非屏蔽双绞线（Unshielded Twisted Pair，简称UTP）和屏蔽双绞线（Shielded Twisted Pair，简称STP）两大类。

STP外面有一层金属材料包裹。使用金属屏蔽层来降低外界的电磁干扰(EMI)，当屏蔽层被正确地接地后，可将接收到的电磁干扰信号变成的电流信号，与在双绞线形成的干扰信号电流反向。只要两个电流是对称的，它们就可抵消，而不给接收端带来噪声。可是，屏蔽层不连续或者屏蔽层电流不对称时，就会降低甚至完全失去屏蔽效果而导致噪声。STP线缆只有当完全的端对端链路均完全屏蔽及正确接地后，才能防止电磁辐射及干扰。要使噪声减小到最小，提高信噪比，这种抗干扰、防辐射的能力，就是所谓的电磁兼容性(EMC)。STP可以减小辐射，防止信息被窃听，同时具有较高的数据传输率，但价格相对要贵，安装也比较复杂。

UTP外面则只有一层绝缘胶皮包裹，这种网线在塑料绝缘外皮里面包裹着八根信号线，它们每两根为一对相互缠绕，形成总共四对，双绞线也因此得名。双绞线这样互相缠绕的目的就是利用铜线中电流产生的电磁场互相作用抵消邻近线路的干扰并减少来自外界的干扰。每对线在每英寸长度上相互缠绕的次数决定了抗干扰的能力和通讯的质量，缠绕得越紧密其通讯质量越高，就可以支持更高的网络数据传送速率，当然它的成本也就越高。国际电工委员会和国际电信委员会EIA/TIA�Electronic Instry Association/Telecommunication Instry Association已经建立了UTP网线的国际标准并根据使用的领域分为5个类别(Categories或者简称CAT)，每种类别的网线生产厂家都会在其绝缘外皮上标注其种类，例如CAT-5或者Categories-5。总之UTP价格相对便宜，组网方便。

双绞线按电气性能划分的话，通常分为：三类、四类、五类、超五类、六类双绞线等类型，数字越大，版本越新、技术越先进、带宽也越宽，当然价格也越贵了。
三类、四类线目前在市场上几乎没有了，如果有，也不是以三类或四类线出现，而是假以五类，甚至超五类线出售，这是目前假五类线最多的一种。
目前在一般局域网中常见的是五类、超五类或者六类非屏蔽双绞线，

下图所示的左图为一段非屏蔽超五类双线示意图，而右图为一段屏蔽的双绞线。可以从图中看出，屏蔽的五类双绞线外面包有一层屏蔽用的金属膜，它的抗干扰性能好些，但应用的条件比较苛刻，不是用了屏蔽的双绞线，在抗干扰方面就一定强于非屏蔽双绞线。屏蔽双绞线的屏蔽作用只在整个电缆均有屏蔽装置，并且两端正确接地的情况下才起作用。所以，要求整个系统全部是屏蔽器件，包括电缆、插座、水晶头和配线架等，同时建筑物需要有良好的地线系统。事实上，在实际施工时，很难全部完美接地，从而使屏蔽层本身成为最大的干扰源，导致性能甚至远不如非屏蔽双绞线UTP。所以，除了在某些特殊或辐射比较严重的场合，我们一般都是用UTP。

双绞线的品牌和RJ-45水晶头

双绞线作为一种价格低廉、性能优良的传输介质，在综合布线系统中被广泛应用于水平布线。双绞线价格低廉、连接可靠、维护简单，可提供高达1000Mbps的传输带宽，不仅可用于数据传输，而且还可以用于语音和多媒体传输。目前的超五类和六类非屏蔽双绞线可以轻松提供155Mbps的通信带宽，并拥有升级至千兆的带宽潜力，因此，成为当今水平布线的首选线缆。

在六类双绞线产品家族中，主要的品牌有如下几个：
1 安普（AMP）
2 西蒙（Siemon）
3 朗讯（Lucent）
4 丽特（NORDX/CDT）
5 IBM 的ACS银系列

RJ-45水晶头：

之所把它称之为“水晶头”，估计是因为它的外表晶莹透亮的原因而得名的吧。
双绞线的两端必须都安装RJ-45插头，以便插在网卡、集线器（Hub）或交换机（Switch）RJ-45接口上。
水晶头也有几种档次之分，一般比较好的也是如AMP这样的名牌大厂的质量好些。价格嘛，很便宜，约为1.5元一个。不过在选购时千万别贪图便宜，否则质量得不到保证，主要体现在：
1 它的接触探针是镀铜的，容易生锈，造成接触不良，网络不通。
2 质量差的还有一点明显表现为塑料扣位不紧（通常是变形所致），也很容易造成接触不良，网络中断。

如图所示的左图是单个的水晶头图示，右图为一段做好网线的水晶头。
水晶头虽小，但在网络的重要性一点都不能小看，在许多网络故障中就有相当一部分是因为水晶头质量不好而造成的。

制作工具

在双绞网线制作中，最简单的方法就只需一把网线压线钳即可。它可以完成剪线、剥线和压线三种用途。在购买网线钳时一定要注意选对种类，因为网线钳针对不同的线材会有不同的规格，一定要选用双绞线专用的压线钳才可用来制作双绞以太网线。

直通线与交叉线的区别

正线，即直通线 ，（标准568B）：两端线序一样，从左至右线序是：白橙，橙，白绿，蓝，白蓝，绿，白棕，棕。

反线，即交叉线 ，（标准568A）：一端为正线的线序，另一端为从左至右：白绿，绿，白橙，蓝，白蓝，橙，白棕，棕。

以下是各种设备的连接情况下，正线和反线的正确选择。其中HUB代表集线器，SWITCH代表交换机，ROUTER代表路由器：

PC-PC:反线

PC-HUB:正线

HUB-HUB普通口:反线

HUB-HUB级连口-级连口：反线

HUB-HUB普通口-级连口：正线

HUB-SWITCH:反线

HUB(级联口）-SWITCH:正线
SWITCH-SWITCH:反线

SWITCH-ROUTER:正线

ROUTER-ROUTER:反线

100BaseT连接双绞线，以100Mb/S的EIA/TIA 568B作为标准规格。

另外补充一下：
个人发现使用千兆网卡的情况下（以IBM T4x，R5x机器为例），千兆网卡可以自动识别正线和反线，继而不需要专门制作正线而直接使用反线和其他笔记本或者台式机实现双机直联的操作。

双绞线制作步骤

步骤 1：
利用斜口错剪下所需要的双绞线长度，至少 0.6米，最多不超过 100米。然后再利用双绞线剥线器（实际用什么剪都可以）将双绞线的外皮除去2－3厘米。 有一些双绞线电缆上含有一条柔软的尼龙绳，如果您在剥除双绞线的外皮时，觉得裸露出的部分太短，而不利于制作RJ－45接头时，可以紧握双绞线外皮，再捏住尼龙线往外皮的下方剥开，就可以得到较长的裸露线。

步骤2：
剥线完成后的双绞线电缆如图所示。

步骤3：
接下来就要进行拨线的操作。将裸露的双绞线中的橙色对线拨向自己的前方，棕色对线拨向自己的方向，绿色对线剥向左方，蓝色对线剥向右方。 上：橙 左：绿 下：棕 右：蓝

步骤4：
将绿色对线与蓝色对线放在中间位置，而橙色对线与棕色对线保持不动， 即放在靠外的位置。 左一：橙 左二：绿 左三：蓝 左四：棕

步骤5：
小心的剥开每一对线，线对颜色是有一定顺序的。

（需要特别注意的是，绿色条线应该跨越蓝色对线。这里最容易犯错的地方就是将白绿线与绿线相邻放在一起，这样 会造成串扰，使传输效率降低。 左起：白橙／橙／白绿／蓝／白蓝／绿／白棕／棕 常见的错误接法是将绿色线放到第4只脚的位置。
应该将绿色线放在第6只脚的位置才是正确的，因为在100BaseT网络中，第3只脚与第6只脚是同一对的，所以需要使用同一对残。 左起：白橙／橙／白绿／绿／白蓝／蓝／白棕／棕）

步骤 6：
将裸露出的双绞线用剪刀或斜口钳剪下只剩约 14mm的长度，之所以留下这个长度是为了符合EIA／TIA的标准。最后再将双绞线的每一根线依序放入RJ－45接头的引脚内，第一只引脚内应该放白橙色的线，其余类推。

步骤7：
确定双绞线的每根线已经正确放置之后，就可以用RJ－45压线钳压接RJ－45接头。市面上还有一种RJ－45接头的保护套，可以防止接头在拉扯时造成接触不良。使用这种保护套时，需要在压接RJ－45接头之前就将这种胶套插在双绞线电缆上。

步骤8：
重复步骤2到步骤7，再制作另一端的RJ－45接头。因为工作站与集线器之间是直接对接，所以另一端RJ－45接头的引脚接法完全一样。完成后的连接线两端的RJ－45接头无论引脚和颜色都完全～样，这种连接方法适用于ADSL MODEM和计算机网卡之间的连接，计算机与集线器（交换机）之间的连接。完成的RJ45接头应该如下图所示。

交叉网线制作和千兆网线制作

交叉网线用于ADSL MODEM和集线器HUB的连接（与MODEM设计有关系，并非全部如此），HUB与HUB之间不通过级连口的连接，以及两台计算机直接通过网卡相互连接。制作方法和上面基本相同，只是在线序上不像568B，采用了1-3,2-6交换的方式，也就是一头使用568B制作，另外一头使用568A制作。

千兆5类或超5类双绞线的形式与百兆网线的形式相同，也分为直通和交叉两种。

直通网线与我们平时所使用的没有什么区别，都是一一对应的。
但是传统的百兆网络只用到4 根线缆来传输，而千兆网络要用到8 根来传输，所以千兆交叉网线的制作与百兆不同，制作方法如下：
1对3，2对6，3对1，4对7，5对8，6对2，7对4，8对5。

真假UTP的识别方法

确定双绞线的类型

双绞线电缆中的导线是成对出现的，每2条为一对，并且相互扭绕。根据美国线缆规格(AWG)规定：双绞线中的导线全部应为4对，共8根。但是10M以太网标准规定只使用2对导线传输信号，所以3类双绞线中有些是2对的，而有些则是4对的。

快速以太网的出现，一方面将原来10M网络的速度从理论上提高了10倍，另一方面为将来更快速度的网络（千兆位以太网，传输速度为1000Mbps）作好准备，同时传输速度为100Mbps的5类双绞线也投入使用。虽然快速以太网只使用其中的2对，但千兆位以太网必须要用到全部的4对。建议大家多看看网线上的标注，如标有“CAT 3”的字样则一般为3类线，当标有“CAT 5”的字样时说明为5类双绞线。

1 实际测试其速度

现在组建的网络一般都采用5类以上的双绞线，3类双绞线已属于淘汰产品。但是，一些双绞线生产厂商在5类双绞线标准推出后，便将原来用于3类线的导线封装在印有5类双绞线字样的电缆中出售。当你使用了这类假5类线后，网络的实际通信速度只能在很短的距离内达到5类双绞线所规定的100Mbps。

这种造假非常隐蔽，一般用户很难发现。这时，建议大家先购买一段，利用Windows 95/98中的“系统监视器”或Windows NT Server4.0等系统中的“网络监视器”亲自测试一下。如果测试速度达到了100Mbps，则表明是5类双绞线，若只有10Mbps，说明电缆中使用的是3类线的导线。

这种方法不仅能够正确区别3类线和5类线，而且可以用于测试双绞线电缆中每一对导线的扭绕度是否符合标准，同时还可以测出导线中的金属介质是否合格。请注意：在进行网络速度测试时，双绞线的长度应为100米的标准长度，否则测出的数据没有任何实用意义。

2 目测外观

并不是所有的网络布线都集中在装有空调的办公室中，所以网线必须具有一定的耐热、抗拉和易弯曲等性能。

一、真的具有较高的耐温性，可以将双绞线放在高温环境中测试一下，真的双绞线在周围温度达到摄氏35℃至40℃时外面的一层胶皮不会变软，而假的却会。

二、为了保证连接的安全，真的双绞线电缆外包的胶皮具有较强的抗拉性，而假的却没有。

三、双绞线电缆中一般使用金属铜，而一些厂商在生产时为了降低成本，在铜中添加了其他的金属元素，其直观表现是掺假后的导线比正常的明显要硬，不易弯曲，使用中容易产生断线。

四、真的双绞线外面的胶皮还具有抗燃性，而假的则使用普通的易燃材料制成，购买时可亲自试试。

五、当需要使用屏蔽双绞线时，应注意屏蔽双绞线与我们常用的非屏蔽双绞线有很大的区别。与非屏蔽双绞线相比，在屏蔽双绞线的导线与外部胶皮之间多出了一层金属网和一层薄薄的绝缘材料，并且对应的水晶头的外面用金属包裹

在组建局域网的过程中，人们往往会不惜重金去购买高档网卡、交换机、路由器，而忽略了这“不起眼”的网线质量。
其实网线的质量对局域网的传输性能影响最直接，因此对网线进行测试是选购网线以及制作过程中的一个很重要的环节。

㈦ 交换机端口安全主要功能是什么

交换机端口安全主要功能是通过定义各种端口安全模式。

支持每个端口在不同网段之间进行迁移。这种交换技术是基于OSI第一层上完成的，具有灵活性和负载平衡能力等优点。如果配置得当，那么还可以在一定程度进行容错，但没有改变共享传输介质的特点，自而未能称之为真正的交换。

集线器的背板通常划分有多条以太网段（每条网段为一个广播域），不用网桥或路由连接，网络之间是互不相通的。以太主模块插入后通常被分配到某个背板的网段上，端口交换用于将以太模块的端口在背板的多个网段之间进行分配、平衡。

(7)交换机网络安全探针扩展阅读：

通过交换的方式进行的数据传输，其实就是交换机的数据传送的方式。之前的集线器，更多是利用共享的方式，来对数据进行传输，没有办法从通讯的速度上进行要求。集线器的共享方式，也就是常说的共享式网络，以集线器作为连接设备并且只有一个方向的数据流，因而网络共享的效率非常低。

相对而言，交换机能够对连接到自身的各台电脑进行相应的识别，通过每台电脑网卡的物理地址也就是常说的MAC地址，来进行记忆和识别。

在这样的前提之下，就不用再进行广播寻找，而能够直接将记忆的MAC地址找到相应的地点并且通过一个临时性专用的数据传输通道，来完成两个节点之间不受外来干扰的数据传输的通信。

由于交换机还具有全双工传输的方式，所以也可以对于多对节点间通过同时建立临时的专用通道，来形成一个立体且交叉的数据传输通道结构。

㈧ 交换机端口安全问题有哪些

交换机端口安全总结

最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理，比如MAC地址与具体的端口绑定，限制具体端口通过的MAC地址的数量，或者在具体的端口不允许某些MAC地址的帧流量通过。稍微引申下端口安全，就是可以根据802.1X来控制网络的访问流量。

首先谈一下MAC地址与端口绑定，以及根据MAC地址允许流量的配置。

1.MAC地址与端口绑定，当发现主机的MAC地址与交换机上指定的MAC地址不同时 ，交换机相应的端口将down掉。当给端口指定MAC地址时，端口模式必须为access或者Trunk状态。

3550-1#conf t

3550-1(config)#int f0/1

3550-1(config-if)#switchport mode access /指定端口模式。

3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。

3550-1(config-if)#switchport port-security maximum 1 /限制此端口允许通过的MAC地址数为1。

3550-1(config-if)#switchport port-security violation shutdown /当发现与上述配置不符时，端口down掉。

2.通过MAC地址来限制端口流量，此配置允许一TRUNK口最多通过100个MAC地址，超过100时，但来自新的主机的数据帧将丢失。

3550-1#conf t

3550-1(config)#int f0/1

3550-1(config-if)#switchport trunk encapsulation dot1q

3550-1(config-if)#switchport mode trunk /配置端口模式为TRUNK。

3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大MAC地址数目为100。

3550-1(config-if)#switchport port-security violation protect /当主机MAC地址数目超过100时，交换机继续工作，但来自新的主机的数据帧将丢失。

上面的配置根据MAC地址来允许流量，下面的配置则是根据MAC地址来拒绝流量。

1.此配置在Catalyst交换机中只能对单播流量进行过滤，对于多播流量则无效。

3550-1#conf t

3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相应的Vlan丢弃流量。

3550-1#conf t

3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相应的接口丢弃流量。

理解端口安全：

当你给一个端口配置了最大安全mac地址数量，安全地址是以一下方式包括在一个地址表中的：

·你可以配置所有的mac地址使用 switchport port-security mac-address

·你也可以允许动态配置安全mac地址，使用已连接的设备的mac地址。

·你可以配置一个地址的数目且允许保持动态配置。

注意：如果这个端口shutdown了，所有的动态学的mac地址都会被移除。

一旦达到配置的最大的mac地址的数量，地址们就会被存在一个地址表中。设置最大mac地址数量为1，并且配置连接到设备的地址确保这个设备独占这个端口的带宽。

当以下情况发生时就是一个安全违规：

·最大安全数目mac地址表外的一个mac地址试图访问这个端口。

·一个mac地址被配置为其他的接口的安全mac地址的站点试图访问这个端口。

你可以配置接口的三种违规模式，这三种模式基于违规发生后的动作：

·protect-当mac地址的数量达到了这个端口所最大允许的数量，带有未知的源地址的包就会被丢弃，直到删除了足够数量的mac地址，来降下最大数值之后才会不丢弃。

·restrict-一个限制数据和并引起"安全违规"计数器的增加的端口安全违规动作。

·shutdown-一个导致接口马上shutdown，并且发送SNMP陷阱的端口安全违规动作。当一个安全端口处在error-disable状态，你要恢复正常必须得敲入全局下的errdisable recovery cause psecure-violation 命令，或者你可以手动的shut再no shut端口。这个是端口安全违规的默认动作。

默认的端口安全配置：

以下是端口安全在接口下的配置-

特性：port-sercurity 默认设置：关闭的。

特性：最大安全mac地址数目 默认设置：1

特性：违规模式 默认配置：shutdown，这端口在最大安全mac地址数量达到的时候会shutdown，并发snmp陷阱。

下面是配置端口安全的向导-

·安全端口不能在动态的access口或者trunk口上做，换言之，敲port-secure之前必须的是switch mode acc之后。

·安全端口不能是一个被保护的口。

·安全端口不能是SPAN的目的地址。

·安全端口不能属于GEC或FEC的组。

·安全端口不能属于802.1x端口。如果你在安全端口试图开启802.1x，就会有报错信息，而且802.1x也关了。如果你试图改变开启了802.1x的端口为安全端口，错误信息就会出现，安全性设置不会改变。

最后说一下802.1X的相关概念和配置。

802.1X身份验证协议最初使用于无线网络，后来才在普通交换机和路由器等网络设备上使用。它可基于端口来对用户身份进行认证，即当用户的数据流量企图通过配置过802.1X协议的端口时，必须进行身份的验证，合法则允许其访问网络。这样的做的好处就是可以对内网的用户进行认证，并且简化配置，在一定的程度上可以取代Windows 的AD。

配置802.1X身份验证协议，首先得全局启用AAA认证，这个和在网络边界上使用AAA认证没有太多的区别，只不过认证的协议是802.1X;其次则需要在相应的接口上启用802.1X身份验证。(建议在所有的端口上启用802.1X身份验证，并且使用radius服务器来管理用户名和密码)

下面的配置AAA认证所使用的为本地的用户名和密码。

3550-1#conf t

3550-1(config)#aaa new-model /启用AAA认证。

3550-1(config)#aaa authentication dot1x default local /全局启用802.1X协议认证，并使用本地用户名与密码。

3550-1(config)#int range f0/1 -24

3550-1(config-if-range)#dot1x port-control auto /在所有的接口上启用802.1X身份验证。

后记

通过MAC地址来控制网络的流量既可以通过上面的配置来实现，也可以通过访问控制列表来实现，比如在Cata3550上可通过700-799号的访问控制列表可实现MAC地址过滤。但是利用访问控制列表来控制流量比较麻烦，似乎用的也比较少，这里就不多介绍了。

通过MAC地址绑定虽然在一定程度上可保证内网安全，但效果并不是很好，建议使用802.1X身份验证协议。在可控性，可管理性上802.1X都是不错的选择